Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.

Slides:



Advertisements
Podobné prezentace
Síťové prvky.
Advertisements

SÍŤOVÉ PROTOKOLY.
D03 - ORiNOCO RG-based Wireless LANs - Technology
Módy bezdrátového připojení
SÍŤOVÉ SLUŽBY DNS SYSTÉM
Překlad síťových adres - NAT
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-20.
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Analýza síťového provozu
Softwarové zabezpečení serveru
Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Aktivní prvky - úvod. Aktivní prvky sítě zařízení, která potřebují napájení vzájemně jsou propojena pomocí pasivních prvků rozšiřují broadcastovou doménu.
Počítačové sítě.
Pavel Dvořák Gymnázium Velké Meziříčí Počítačové sítě – model komunikace, TCP/IP protokol, další důležité protokoly Registrační číslo projektu: CZ.1.07/1.5.00/
DIGITÁLNÍ UČEBNÍ MATERIÁL
Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Návrh počítačové sítě malé firmy
Slide 1 A Free sample background from © 2003 By Default! Jiří Kůsa Testování propustnosti síťového firewallu.
Protokol TCP/IP a OSI model
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Síťové prvky.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-08.
Firewall.
Aktivní prvky pracující na linkové vrstvě. můstek přepínač Zařízení pracující na této vrstvě využívají schopnost učit se MAC adresy uzlů v různých segmentech.
INTERNET – struktura, fungování a přehled využití
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
POČÍTAČOVÉ SÍTĚ ADRESA. Identifikace v síti  IP adresa - je jednoznačná identifikace konkrétního zařízení (typicky počítače) v prostředí sítě (Internetu).
Datové sítě Ing. Petr Vodička.
Firewally Network Adress Translation (NAT) Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Základy informatiky část 6
Vybudujte si svůj vlastní internetovský ochranný val
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Zajištění ochrany počítačové sítě - FIREWALL - Samostatná práce Michala Červenky.
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Protokoly úrovně 3 nad ATM Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc.
Transportní úroveň Úvod do počítačových sítí Lekce 10 Ing. Jiří Ledvina, CSc.
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-16.
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.
Internet protocol Počítačové sítě Ing. Jiří Ledvina, CSc.
Počítačové sítě 6. přednáška propojování lokálních sítí bridge router
Vrstvy ISO/OSI  Dvě skupiny vrstev  orientované na přenos  fyzická vrstva  linková vrstva  síťová  orientované na aplikace  relační vrstva  prezentační.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
Kvíz 5. – 6. hodina. Co nepatří mezi komponenty sítě Síťová zařízení Přenosová média MS Office Protokoly.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík SŠ IT a SP, Brno
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
Paměti PC HDD, CD/DVD, USB Flash RAM a ROM Vnější paměť Disková paměť
3. Ochrana dynamických dat
Síťová vrstva a vrstva síťového rozhraní v TCP/IP
Název školy: Autor: Název: Číslo projektu: Název projektu:
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
TÉMA: Počítačové systémy
Unix a Internet 5. Firewall
Unix a Internet 5. Firewall
PB169 – Operační systémy a sítě
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
SSH tunely a reverzní tunely
Propojování sítí (1) Propojování sítí je možné realizovat, např. pomocí: Repeater: zesilovač, který předává veškeré informace z jedno-ho síťového segmentu.
Příklad topologie sítě Adresace v internetu MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu.
Úvod do počítačových sítí
Počítačové sítě IP vrstva
Transportní protokoly
Transkript prezentace:

Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres ● Firewally

Filtrace ● Kontrola procházejících paketů aktivním prvkem sítě ● Nemění obsah paketu, jen je propouští nebo zahazuje ● Filtrace na linkové vrstvě (switch), transportní vrstvě (router) nebo na aplikační vrstvě ● Linkový filtr musí znát linkové záhlaví, IP-filtr záhlaví IP datagramu, TCP záhlaví TCP segmentu ● Aplikační filtr musí znát celý protokol (nejednoznačnost ve struktuře protokolu)

Linkový filtr ● Obrana proti útoku zevnitř, chrání obsah rámců přenášených LAN ● Testuje se, zda za rozhraním switche je pouze zařízení se známou MAC adresou – nelze připojit neznámý hardware ● Polopropustná membrána – otevřeno ven

IP filtr ● Filtr vložený mezi chráněnou síť a Internet ● Předává datagramy pouze podle jejich záhlaví, někdy je nutné pracovat i s TCP segmentem a jeho záhlavím ● Specifikuje a) kdo nesmí, b) kdo smí ● Standardní filtr – pouze adresa odesilatele ● Rozšířený filtr – adresa odesílatele i příjemce, ev. TCP záhlaví. Leží na nejzazší hranici. Riziko – nevíme, kdo je mezi sítěmi (man-in-the-middle)

IP filtr ● Útoky: MITM, address-spoofing ● Address spoofing=podvržení adresy zevnitř sítě datům zvenčí. Obrana – náhodné číslo generované routerem uvnitř sítě (lze odhadnout), používání IP adres v konfiguračních souborech

TCP filtr ● Omezení komunikace na konkrétní aplikace (porty) ● TCP segment je rozfragmentován na datagramy. Router čeká na fragment se záhlavím, ostatní propustí. Po uplynutí určité doby příjemce o nesestaveném segmentu informuje odesilatele (riziko – blokovat). ● Filtr zadrží datagramy do momentu, kdy je má všechny pohromadě a propustí je naráz

Reflexivní filtry ● Datové přenosy jsou vždy obousměrné relace – jak oddělit komunikaci ven a dovnitř? ● Filtr propouští dovnitř jen ty datagramy, které náležejí relaci otevřené směrem ven ● Filtrace na vnějším nebo vnitřním rozhraní routeru (s filtrem na vnějším rozhraní nefunguje demil. Zóna) ● Lze nasadit i na filtrování bezestavových protokolů

Filtrace aplikačních protokolů ● Telnet, SSH – na dedikovaných portech ● FTP – pouze pasivní, a to filtrem pro příkazový a datový kanál zvlášť ● Http – problém vysokých portů ● SSL/TLS – totéž ● SMTP – nelze provozovat mimo DMZ ● POP3/IMAP – na portu ● LDAP – transparentní proxy (chybí inherentní podpora v protokolu LDAP)

Proxy ● Klient-server ● Dvě síťová rozhraní, na vnitřním server, na vnějším klienty ● Rozšíření – filtrace (především obsahu, proxy vidí do aplikační vrstvy) a cache (pro urychlení opakovaných požadavků) ● Klasická (pracuje formou dialogu s klienty) ● Generická (neumí-li klient sdělit adresu serveru – koncentruje požadavky na různý provoz)

Proxy ● Transparentní (svého druhu router – ovšem pakety na vstupu považuje za své, vůči klientu emuluje server) ● SOCKS – společná metaproxy pro veškerý provoz, na základě požadavku zřizuje konkrétní proxy ● WINSOCKS – API pro všechny druhy komunikace v rámci Windows, uvnitř sítě se nepoužívá (tabulka LAT)

NAT ● Překlad adres ● Principem je skrytí vnitřní sítě před vnějškem bez nutnosti proxy – přímý překlad vnější adresy na vnitřní a naopak ● Jednoduchý NAT – 1:1 ● Rozšířený NAT – N:1 ● Dvojitý NAT – pokud máme uvnitř veřejné adresy, je třeba dvojí překlad (M:N) ● Je třeba rozkládat zátěž – obvykle užívané jméno serveru je rotující virtuální obálka